Wirus "Polizja Biuro Służby kryminalnej"

[asiczka1983 0]

udało się

 

Addition http://www.wklej.org/id/1136202/

 

FRST http://www.wklej.org/id/1136203/

[filutka78 11]

--------->>@asiczka1983

 

Z logów wynika, że wcale nie masz tej infekcji, ani żadnej innej.

 

Są tylko sponsorskie śmieci.

Przejdź do Trybu Normalnego.

Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

Daj z tego raport.

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

 

F.

[asiczka1983 0]

ale jak wchodzę na tryb normalny to odrazu mi się blokuje i wyskakuje ta strona polizja. i wtedy nie mogę nic zrobić

[mysteriis 0]

Filutka78,

wiem, że zamęczam Cię dzisiaj sobą, ale proszę zerknij jeszcze na to.

 

Powtórzyłem jeszcze dwukrotnie czynności, które zostały opisane powyżej bez normalnego logowania do systemu, za każdym razem wchodząc jedynie do trybu awaryjnego. Ostatni raport OTL jaki otrzymałem jest następujący:

 

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Michal\Dane aplikacji\cache.dat deleted successfully.

File C:\Documents and Settings\Michal\Dane aplikacji\cache.dat not found.

File C:\Documents and Settings\Michal\Dane aplikacji\cache.ini not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 0 bytes

 

User: Micha³

->Java cache emptied: 0 bytes

 

User: Michał

->Temp folder emptied: 1544 bytes

->Temporary Internet Files folder emptied: 290815 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 09242013_131628

 

Files\Folders moved on Reboot...

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

 

 

 

 

Kolejnch kilka prób zakończyło się bez efektu.

Rozpocznę w takim razie poszukiwania jak uruchomić FRST ze środowiska zewnętrznego.

[mysteriis 0]

Udało się uruchomić FRST.

Poniżej raport.

 

pozdrawiam,

Michał

FRST.txt

[filutka78 11]

--------->>@mysteriis

 

Otwórz Notatnik i wklej w nim:

HKLM\...\Winlogon: [system] lsass.exe No File

HKCU\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\Michał\Dane aplikacji\cache.dat [135168 2002-09-20] () <==== ATTENTION

2013-09-24 00:02 - 2013-09-24 14:02 - 00000004 _____ C:\Documents and Settings\Michał\Dane aplikacji\cache.ini

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. - daj go

 

Zrób nowy log z FRST

 

F.

[asiczka1983 0]

co mam teraz zrobic???

[mysteriis 0]

W załączniku

Fixlog.txt

[filutka78 11]

----------->>@asiczka1983

 

W takim razie załóż temat na http://www.fixitpc.pl/

Może tam @Picasso dostrzeże w logach coś, czego ja nie dostrzegam.

 

Niestety, tam na odpowiedź czeka się często bardzo długo, nawet kilka tygodni, nic na to nie poradzę.

To najgorsze forum pod względem czekania na odpowiedź, ale @Picasso jest naprawdę fachowa.

 

F.

 

*******************************************

 

----------->>@ mysteriis

 

czekam na nowy log FRST

 

F.

[mysteriis 0]

Bardzo proszę

FRST.txt

Addition.txt

[filutka78 11]

----------->>@mysteriis

 

W nowym logu widzę już tylko sponsorskie śmieci, więc teraz - w Trybie Normalnym - użyj Adw-Cleaner.

Potem zrób log z OTL.

 

F.

[mysteriis 0]

Niestety normalne uruchomienie spowodowało ponowne pojawienie się wirusa.

Czy jest jeszcze jakiś sposób na pozbycie się tego świństwa?

 

pozdrawiam,

Michał

 

Zwrócę się również do Picasso.

 

A Tobie filutka78 dziękuję za zaangażowanie i cierpliwość

[filutka78 11]

--------->>@mysteriis

 

Tak, bo FRST nie usunął pliku "cache.dat".

Chciałam usunąć go już przy pomocy OTL, ale skoro udajesz się na "fixitpc", to oczywiście trzymaj się tamtego forum i zaleceń tam dawanych.

 

F.

[portos76 0]

Witam serdecznie i prosze o ratunek

OTL http://www.wklejto.pl/174938

EXTRAS http://www.wklejto.pl/174939

Arek

[filutka78 11]

----------->>@portos76

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20 - HKU\S-1-5-21-3332854283-2318484686-1191850725-1000 Winlogon: Shell - (C:\Users\PC\AppData\Roaming\data.dat) - C:\Users\PC\AppData\Roaming\data.dat ()

[2013-09-25 09:39:28 | 000,000,004 | ---- | M] () -- C:\Users\PC\AppData\Roaming\settings.ini

[2013-08-16 12:49:24 | 000,000,165 | ---- | C] () -- C:\ProgramData\xlyupicllbffnwcrynn.reg

[2013-08-16 12:49:24 | 000,000,070 | ---- | C] () -- C:\ProgramData\xlyupicllbffnwcrynn.bat

 

:Files

C:\Users\PC\AppData\Roaming\data.ini

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera (do Trybu Normalnego). Zapisz raport, który pokaże się po restarcie.

 

2) Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

Daj z tego raport.

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

 

3) Zrób nowy log z OTL.

 

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml

 

(nie śpiesz się - zajrzę tu dopiero ok 14:45)

 

F.

[portos76 0]

----------->>@portos76

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera (do Trybu Normalnego). Zapisz raport, który pokaże się po restarcie.

 

2) Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

Daj z tego raport.

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

 

3) Zrób nowy log z OTL.

 

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml

 

(nie śpiesz się - zajrzę tu dopiero ok 14:45)

 

F.

[portos76 0]

Wielkie dzięki,poszło Poniżej linki do raportów.

http://www.wklejto.pl/174958

http://www.wklejto.pl/174955

Java zainstalowana,coś jeszcze czy na tym poprzestać?

pozdrawiam

[filutka78 11]

------------>>@portos76

 

Adw-Cleaner użyty tylko z opcji SKAN.

Powtórz to.

Najpierw SKAN, potem kliknij na USUŃ.

 

Potem zrób nowy log z OTL.

 

F.

[portos76 0]

Zrobione

http://www.wklejto.pl/174970

http://www.wklejto.pl/174971

Pozdrawiam

[filutka78 11]

----------->>@portos76

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O2 - BHO: (TubeSaver) - {f336028d-158a-481f-9dd7-cd19734173c1} - C:\Program Files (x86)\TubeSaver\130.dll File not found

DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)

O4 - HKLM..\Run: [AnyProtect] C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe File not found

O4 - HKLM..\Run: [AnyProtect Tray] C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe /scanner File not found

O20 - AppInit_DLLs: (c:\progra~3\bitguard\261673~1.238\{c16c1~1\bitguard.dll) - File not found

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

Raportu z tego już nie dawaj.

Potem kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

[portos76 0]

----------->>@portos76

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

Kliknij w Wykonaj Skrypt.

Raportu z tego już nie dawaj.

Potem kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

 

Jeszcze raz wielkie dzięki

[aprwdz 0]

Witam,

I podłącze się pod temat. Również mam ten rodzaj szkodnika u siebie.

Oto linki do plików z OTL:

OTL.Txt

Extras.Txt

A to linki do plików z FRST:

FRST.txt

Addition.txt

 

Bardzo proszę o pomoc.

[filutka78 11]

--------->>@aprwdz

 

1) Otwórz Notatnik i wklej w nim:

2013-09-26 16:24 - 2013-09-26 16:24 - 00219136 _____ C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\zDJcGXAk

2013-09-26 16:24 - 2013-09-26 16:24 - 00219136 _____ C:\Documents and Settings\lukasz\Dane aplikacji\yizs70GJgLA

2013-09-26 16:24 - 2013-09-26 16:24 - 00219136 _____ C:\Documents and Settings\All Users\Dane aplikacji\Jj8fEBM9O6i

2013-09-26 16:09 - 2013-09-26 16:00 - 00000000 ____D C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\ZomN7T2Hpc

2013-09-26 15:47 - 2013-09-26 15:47 - 00219136 _____ C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\4vCLD9qzLS

2013-09-26 15:47 - 2013-09-26 15:47 - 00219136 _____ C:\Documents and Settings\lukasz\Dane aplikacji\1Y5zjFJV

2013-09-26 15:47 - 2013-09-26 15:47 - 00219136 _____ C:\Documents and Settings\All Users\Dane aplikacji\TnHYXOC0n7s

2013-09-26 15:47 - 2013-09-26 15:47 - 00000000 ____D C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\NFKOKcma

S3 speccy; \??\C:\DOCUME~1\lukasz\USTAWI~1\Temp\b8596886-e879-4fe9-a899-7b30a68576b9 [x]

Toolbar: HKCU -KMPlayer Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

Toolbar: HKCU - No Name - {A03B40E3-07CB-4B16-97F5-7AFE6995C7A9} - No File

2013-09-26 15:31 - 2011-11-07 03:31 - 00000236 _____ C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\bassmod.dll

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\BKM29A.exe

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\ivmkqikybeilqnxcajl.dll

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\ivmkqikybeilqnxcajl.exe

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\KMP_3.4.0.59.exe

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\NEventMessages.dll

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\NOSEventMessages.dll

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\pyl143.tmp.exe

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\sfamcc00001.dll

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\TUUUninstallHelper.exe

C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\VSUSetup.exe

Toolbar: HKLM - KMPlayer Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

Toolbar: HKLM - SimilarSites - {FE69C007-C452-4d3e-86D2-1730DF8BC871} - C:\Program Files\SimilarSites\similarsites.dll (SimilarSites)

BHO: KMPlayer Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

URLSearchHook: SimilarSites - {FE69C007-C452-4d3e-86D2-1730DF8BC871} - C:\Program Files\SimilarSites\similarsites.dll (SimilarSites)

HKU\Administrator\...\Run: [GIAER5ZhN.exe] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\ZomN7T2Hpc\GIAER5ZhN.exe [ 2013-09-26] (Microsoft Corporation)

HKU\Administrator\...\Winlogon: [shell] cmd.exe [ 2008-04-14] (Microsoft Corporation) <==== ATTENTION

HKU\Administrator\...\Command Processor: "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\ZomN7T2Hpc\GIAER5ZhN.exe" <===== ATTENTION!

HKCU\...\Run: [9G8nkvhyEw.exe] - C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\NFKOKcma\9G8nkvhyEw.exe [90448 2013-09-26] (Microsoft Corporation)

HKCU\...\Command Processor: "C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\NFKOKcma\9G8nkvhyEw.exe" <======= ATTENTION

C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\NFKOKcma

HKCU\...\Run: [] - [x]

HKLM\...\Winlogon: [shell] cmd.exe [x ] () <=== ATTENTION

HKLM\...\Command Processor: "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\ZomN7T2Hpc\GIAER5ZhN.exe" <======= ATTENTION

HKLM\...\Run: [9G8nkvhyEw.exe] - C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\NFKOKcma\9G8nkvhyEw.exe [90448 2013-09-26] (Microsoft Corporation)

HKLM\...\Run: [ApnTBMon] - C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1603024 2013-08-29] (APN)

Task: C:\WINDOWS\Tasks\Driver Robot.job => ?

Task: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job => C:\Program Files\Ask.com\UpdateTask.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt (daj go)

 

2) W Trybie Normalnym użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

Daj z tego raport.

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

 

3) Zrób nowe logi z FRST (bez Addition) oraz z OTL

 

F.

[aprwdz 0]

Wszystko wykonane, komputer się uruchomił, jest dobrze

A tu wyniki:

fixlog.txt

AdwCleaner

i nowe logi:

FRST

OTL

Extras

[filutka78 11]

G:\lge.exe

Sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-09-26 19:02:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\AskToolbar

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)

O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)

O4 - HKLM..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd File not found

IE - HKLM\..\URLSearchHook: - No CLSID value found

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

 

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

 

F.